用户指南
作为 DB2 Connect 管理员,可以与主机或 AS/400 数据库管理员一起确定在何处验证用户名和口令。
有五种可能性:
- 在客户机中验证
- 在DB2 Connect工作站中验证
- 在DB2 Connect工作站和主机或 AS/400 服务器中同时进行验证
- 在主机或 AS/400 服务器中验证
- 在 DCE 安全性服务器中验证
通过在系统数据库目录中设置认证类型参数,
并在 APPC 或 APPN 节点的节点目录中设置安全性类型参数,就可以确定在何处进行验证。
有关更新这些目录的详情,参见更新数据库目录。
记录:
- DB2 Connect 本身不执行任何用户验证。若想让 DB2 Connect 工作站执行验证,
则将使用本地的安全性子系统来验证每个 CONNECT 请求所提供的用户 ID 和口令。
因此,当设置 DB2 Connect 企业版服务器时,若您将使用 AUTHENTICATION=SERVER,
则必须在服务器系统上设置所有必需的用户 ID 和口令。
- 若使用“DCE 目录服务”,则认证的工作方式是不同的。有关详情,参见DCE 目录服务的安全性。
DB2 Connect 允许下列认证类型:
- CLIENT
- 在客户机中验证用户名和口令。
- SERVER
- 在 DB2 Connect 工作站中验证用户名和口令。
当未指定认证,则假定认证类型为 SERVER。
- SERVER_ENCRYPT
- 如同 SERVER 认证,用户名和口令是在 DB2 Connect 工作站中验证的,
但是,在客户机中对传送的口令进行了加密,
并在 DB2 Connect 工作站中进行解密。
- DCS
- 在主机或 AS/400 数据库服务器中验证用户名和口令。
- DCS_ENCRYPT
- 如同 DCS 认证,用户名和口令是在主机或
AS/400 数据库服务器中认证的,但是,在客户机中对传送的口令进行了加密,
并且根据在 DB2 Connect 工作站中指定的认证类型,
在 DB2 Connect 工作站或者在主机或 AS/400 数据库服务器中进行解密。
- DCE
- 在 DCE 安全性服务器中验证用户名和口令。
就认证位置来说,SERVER_ENCRYPT 和 DCS_ENCRYPT 认证与 SERVER 和 DCS 认证具有相同的含义。
它们的区别在于传送的任何口令将在源(客户机或 DB2 Connect 服务器)中加密,
并在源中编目的认证类型所指定的目标(DB2 Connect 服务器或主机或 AS/400 数据库服务器)中解密。
然后,可以使用具有匹配的认证位置的加密和未加密值,
来选择客户机与 DB2 Connect 服务器或者 DB2 Connect 服务器与主机或 AS/400
数据库服务器之间的不同加密组合,而不会影响在何处进行认证。
以下是在网关方案中可以如何使用这种认证一些示例,
其中,“网关”用来指代 DB2 Connect 服务器:
在客户机中认证
| 在网关中认证
| 认证位置
| 客户机 - 网关加密吗?
| 网关 - 服务器加密吗?
|
SERVER_ENCRYPT
| SERVER
| 网关
| 是
| 否
|
DCS_ENCRYPT
| DCS
| 服务器
| 是
| 否
|
DCS
| DCS_ENCRYPT
| 服务器
| 否
| 是
|
DCS_ENCRYPT
| DCS_ENCRYPT
| 服务器
| 是
| 是
|
当使用 SERVER_ENCRYPT 或 DCS_ENCRYPT 时,
受支持的唯一 APPC 安全性参数是 SECURITY=NONE。
记录:
- 对于 DB2 Connect 用来建立连接的任何系统数据库目录项,
若未指定认证参数,则 DB2 Connect 将使用认证 SERVER。
- 对于 DB2 通用数据库客户机/服务器通信,
在与 DB2 Connect 企业版网关相连的远程客户机中,不需要认证类型。
在那里可以指定它以帮助优化性能,从此就不需要从网关中获取它,
从而减少了事务的经过时间。
- 当客户机中的值与网关中的值不一致时,
将优先采用在 DB2 Connect 网关中指定的值。
[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 ]